Kinesiske hackere bruger ransomware som lokkedue til cyberspionage
Der er i stærkt stigende omfang flere og flere der laver industrispionage mod europæiske virksomheder og det er beklageligt at flere og flere forbliver uopdagde så lange. For nogle i helt op til 9 år. Dette betyder at alle IP virksomheder, altså virksomheder der udvikler f.eks. maskiner eller vindmøller, skal finde nye måder at sikre sig på. Det er ikke kun ved hjælp af penetrationstest, men i særdeleshed software til styring af og kontrol med stigende antal sikkerhedhuller der næsten opstår på daglig plan.
Det er ikke kun hacking der udgør en risiko for industrispionage men i høj grad netværk, telefoner, software og videokameraproducenter fra Kina. Denne form for spionage kan undgås ved at have kryptering og nøgler adskilt i et nøglecenter og ved at have fiber krypteret.
Cyberspionage grupper kamuflerer ved at lave ransomware, DDOS angreb samt slette logfiler m.v.
Senest har to kinesiske hackinggrupper, der udfører cyberspionage og stjæler intellektuel ejendomsret fra japanske og vestlige virksomheder, implementerer ransomware som lokkedue for at dække over deres ondsindede aktiviteter.
Trusselsanalytikere fra Secureworks siger, at brugen af ransomware i spionageoperationer sker for at skjule deres spor, at det gør det sværere at finde de skyldige og tillige at skabe en kraftig distraktion for offeret.
Endelig maskeres eksfiltreringen af de følsomme oplysninger som økonomisk motiverede angreb, hvilket ikke er tilfældet med kinesiske statsstøttede trusselsgrupper.
Mærkelig ransomware-aktivitet der udfører spionage
De to klynger af hackingaktivitet som Secureworks har set på jf.: https://www.secureworks.com/research/bronze-starlight-ransomware-operations-use-hui-loader
- er “Bronze Riverside” (APT41) og
- “Bronze Starlight” (APT10)
begge ved hjælp af HUI Loader til at implementere trojanere med fjernadgang, PlugX, Cobalt Strike og QuasarRAT.
Fra marts 2022, udnyttede “Bronze Starlight” Cobalt Strike til at implementere ransomware-stammer som LockFile, AtomSilo, Rook, Night Sky, og Pandora.
I disse angreb, hackerne brugte også en ny version af HUI Loader, som er i stand til at tilslutte Windows API-opkald og deaktivere Event Tracing for Windows (ETW) og Antimalware Scan Interface (AMSI) funktioner.
Konfigurationen af Cobalt Strike beacons i tre forskellige angreb ved hjælp af AtomSilo, Night Sky, og Pandora afslørede en delt C2-adresse. Derudover, den samme kilde blev brugt til at uploade HUI Loader prøver på Virus Total i år.
Aktiviteten og viktimologien af LockFile, AtomSilo, Rook, Night Sky, og Pandora er unsual sammenlignet med økonomisk motiverede ransomware-operationer, rettet mod et lille antal ofre over en kort periode og derefter opgive projektet helt.
Secureworks kommenterer også, at der er kodeoverlapninger mellem Pandora og den nyeste version af HUI Loader, så denne løse forbindelse kan pege på en fælles gruppe.
LockFile og AtomSilo ser også ud til at være meget ens, mens Night Sky, Pandora og Rook alle stammer fra Babuk-kildekode og også har omfattende ligheder i deres kode.
Disse fem ransomware-operationer efterlod ikke et mærke i cyberkriminalitetssamfundet og voksede aldrig rigtig til at blive en betydelig trussel. De blev også alle forladt noget for tidligt.
Når det er sagt, “Bronze Starlight” skaber muligvis kortvarige ransomware-stammer kun for at maskere sine cyberspionageoperationer som ransomware-angreb, hvilket reducerer chancerne for at håndtere konsekvenserne af nøjagtig tilskrivning.
Da alle de diskuterede ransomware-stammer er baseret på offentligt tilgængelig eller lækket kode, og kinesiske trusselsgrupper er kendt for at dele bagdøre og infrastruktur, intet kan siges med sikkerhed.
Men, Secureworks resultater er interessante og udgør en anden grund til, at forsvarere bør oprette robuste ransomware-detektions- og beskyttelsesmekanismer og grundigt inspicere alle systemer efter oprydning.
Selvom det er uklart, om disse ransomware-familier blev udviklet som lokkefugle til at skjule anden ondsindet aktivitet, det ville ikke være første gang, ransomware blev brugt på denne måde.
I 2018 implementerede trusselsaktører på hundredvis af computere i en chilensk bank for at distrahere personalet, mens de forsøgte at stjæle penge via SWIFT-pengeoverførselssystemet.
Og tættere på blev der installeret falsk ransomware også kendt som HermeticWIPER på ukrainske netværk dagen før Rusland invaderede landet.
I fremtiden vil vi se mere og mere industrispionage og selve andelen vil stige markant på mål, hvor kinesiske fabrikker kan have fordele af det, f.eks. kinessiske vindmøllefabrikker, bilfabrikker, medicinproducenter, pharmabranchen og højteknologiske fabrikker.
Kilde: SecureWorks
Fotokredit: stocks.adobe.com